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La presente invention concerne le domaine de la lutte contre le 
piratage des decodeurs d'acces a des donnees numeriques multimedia. Elle 
concerne plus particulierement un procede de deactivation a distance d'un tel 
decodeur ainsi qu'un decodeur comportant des moyens de deactivation a 
5 distance. 

Les operateurs diffusant des programmes audiovisuels payants 
fournissent habituellement aux utilisateurs qui souhaitent recevoir ces 
programmes des decodeurs leur permettant d'y acceder moyennant paiement 

10 d'un abonnement. Les donnees numeriques constituant les programmes sont 
en effet le plus souvent tFansmises sous forme cryptee pour que les utilisateurs 
ne disposant pas du decodeur ne puissent pas y acceder. Le decodeur contient 
notamment des moyens de decryptage et de decodage des donnees 
numeriques. Plus precisement, le decodeur comporte generalement un lecteur 

15 de carte a puce dans lequel est inseree une carte qui contient un module 
logiciel ainsi qu'une ou des cles cryptographiques necessaires au decryptage 
des donnees. La carte a puce contient egalement en general des informations 
sur les droits acquis par Tutilisateur du decodeur (par exemple quels canaux 
sont accessibles a Putilisateur, pour quelle duree, etc.). 

20 Lorsqu'un utilisateur ne souhaite plus payer pour recevoir les 

programmes d'un operateur, il doit en principe retourner son decodeur a 
I'operateur ou a un intermediate charge d'installer les decodeurs. Les 
operateurs sont neanmoins de plus en plus confrontes a un probleme de 
piratage de leurs decodeurs. Certains utilisateurs suspendent en effet leur 

25 abonnement mais ne restituent pas leur decodeur. lis se procurent ensuite des 
cartes a puces pirates donnant des droits d'acces etendus aux programmes 
diffuses par I'operateur. Certains decodeurs sont meme voles dans les 
camionnettes des installateurs pour etre egalement utilises avec des cartes a 
puces pirates. 

30 

L'invention a pour objectif de resoudre les problemes precites. Plus 
precisement, un but de i'invention est de rendre inutilisable un decodeur vole ou 
non restitue ou tout au moins d'en alterer grandement le fonctionnement. 

A cet effet, Tinvention concerne un procede de deactivation a 
35 distance d'au moins un decodeur d'acces a des donnees numeriques 
multimedia fourni par un operateur de services, le decodeur ayant un identifiant 
unique connu de i'operateur. Le procede consiste pour I'operateur a envoyer, a 
travers un reseau de communication reliant le decodeur a I'operateur, une 
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commande de destruction de tout ou partie du logiciel embarque dans le 
decodeur, cette commande de destruction etant adressee au decodeur 
d'identifiant unique specifie par I'operateur. 

Ainsi lorsqu'un decodeur n'est pas restitue ou est vole, I'operateur 
5 peut, a distance, declencher une destruction partielle ou totale du logiciel qui 
est necessaire au fonctionnement du decodeur de maniere a le rendre 
partiellement ou totalement inutilisable. 

Selon un premier mode de realisation, le reseau de communication 
utilise pour envoyer la commande de destruction est un reseau bidirectionnel. 
10 La commande de destruction n'est envoyee, dans ce premier mode de 
realisation, qu'au decodeur auquel elle est adressee. 

Selon un second mode de realisation, le reseau de communication 
utilise pour envoyer la commande de destruction est un reseau mono 
directionnel. Preferentiellement, il s'agit du reseau de diffusion des donnees de 
15 I'operateur vers tous les decodeurs et la commande de destruction est envoyee 
a tous les decodeurs avec les donnees diffusees par I'operateur. 

L'invention concerne egalement un decodeur d'acces a des donnees 
numeriques multimedia caracterise en ce qu'il comporte un module logiciel 
effaceur adapte a effacer tout ou partie du logiciel embarque dans le decodeur 
20 lorsque celui-ci recjoit une commande de destruction qui lui est adressee. 

Selon une caracteristique particuliere de l'invention, le decodeur 
possede un identifiant unique et la commande de destruction regue contient cet 
identifiant unique lorsqu'elle lui est adressee. 

Selon un autre aspect de l'invention, le decodeur comporte un 
25 module d'initialisation du decodeur destine a verifier I'integrite du logiciel 
embarque et, en cas de verification negative, a telecharger un nouveau logiciel. 
Ce module d'initialisation est en outre adapte a verifier qu'une partie au moins 
du logiciel embarque dans le decodeur n'a pas ete au prealable effacee par le 
module effaceur, le module d'initialisation ne verifiant Tintegrite du logiciel 
30 embarque que lorsque aucune partie du logiciel n'a ete au prealable effacee. 

Selon un mode de realisation particulier, le module effaceur efface 
un module logiciel embarque dans le decodeur a chaque reception d'une 
nouvelle commande de destruction adressee audit decodeur. 

Selon une caracteristique particuliere de ce mode de realisation, les 
35 modules logiciels du decodeur sont effaces dans I'ordre suivant : le module de 
controle d'acces en premier, le module d'interface utilisateur en second ; et le 
module de decodage audio/video en troisieme. 
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L'invention sera mieux comprise a la lecture de la description qui va 
suivre, donnee uniquement a titre d'exemple et faite en se referant aux dessins 
annexes sur lesquels : 

- la figure 1 represente un ensemble d'emission et de reception de 
5 programmes fournis par un operateur ; 

- la figure 2 illustre schematiquement un premier mode de realisation 
de ['invention ; 

- la figure 3 illustre schematiquement un second mode de realisation 
de ('invention qui peut etre associe au premier mode de realisation ; et 

10 - la figure 4 est un organigramme schematique d'un procede de 

fonctionnement d'un decodeur selon l'invention. 

Sur la figure 1, on a represente un decodeur 1 qui regoit des 
programmes, typiquement des programmes audiovisuels ou bien des 

15 programmes interactifs, d'un centre de diffusion 2 d'un operateur. II regoit ces 
programmes par I'intermediaire d'un reseau de diffusion unidirectionnel 3. On 
utilise souvent la terminologie anglaise pour designer cette voie de diffusion en 
parlant de « voie broadcast ». Le decodeur 1 est egalement relie a un serveur 5 
de I'operateur par un reseau de communication bidirectionnel 4. On parle en 

20 general de « voie de retour » reliant le decodeur au serveur. Naturellement, 
meme si un seul decodeur d'identifiant ID est represente sur la figure 2, il existe 
en pratique une multitude de decodeurs d'identifiants differents qui regoivent 
des programmes du centre de diffusion 2 et qui sont relies au serveur 5. 

Habituellement, la voie broadcast est utilisee pour la diffusion 

25 generale des programmes, c'est a dire pour une diffusion globale vers tous les 
decodeurs en meme temps tandis que la voie de retour est utilisee pour des 
communications individuelles d'un decodeur vers I'operateur. La voie de retour 
est notamment utilisee dans le cadre de programmes interactifs lorsque 
I'utilisateur participe a un jeu ou a un vote ou bien pour commander des 

30 programmes selon un mode de « paiement a la seance » (ou « pay-per-view » 
en anglais). 

La voie broadcast est realisee sous la forme d'une transmission par 
satellite, par cable ou par voie hertzienne. 

Pour realiser la voie de retour, le decodeur 1 comporte un modem 
35 (non represente sur la figure 1) relie a un reseau de communication 4. II peut 
s'agir d'un modem telephonique classique relie au RTC (acronyme de 
« Reseau Telephonique Commute »), ou bien d'un modem ADSL (acronyme de 
I'anglais « Asymmetric Digital Subscriber Line » signifiant « Ligne d'abonnee 
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Numerique a Debit Asymetrique ») relie a une ligne telephonique classique ou 
encore d'un modem cable relie a un reseau cable. II peut egalement s'agir de 
maniere preferentielle d'un modem sans connexion filaire relie a un reseau de 
communication sans fil. par exemple un modem de type GPRS (acronyme de 
5 I'anglais « General Packet Radio Service » signifiant «Services Radio par 
Paquets»), GSM (acronyme de I'anglais « Global System for Mobile 
communications » signifiant « Systeme Global pour communications Mobiles ») 
ou UMTS (acronyme de I'anglais « Universal Mobile Telecommunication 
System » signifiant « Systeme de telecommunication Mobile Universe! »). 

10 Chaque decodeur possede un identifiant unique ID qui est 

preferentieliement memorise dans une zone protegee d'une memoire contenue 
dans le decodeur. Tous les identifiants ID des decodeurs fournis par un 
operateur a ses utilisateurs sont egalement memorises dans une base de 
donnee de I'operateur. Lorsqu'un utilisateur ne paie plus son abonnement mais 

15 ne restitue pas son decodeur d'identifiant ID, ou bien lorsque I'operateur 
apprend qu'un decodeur d'identifiant ID a ete vole, I'operateur peut alors, 
conformement a Tinvention, envoyer une commande de destruction de tout ou 
partie du logiciel embarque dans le decodeur, cette commande etant adressee 
specifiquement au decodeur d'identifiant ID. 

20 L'envoi de la commande specifique de destruction du logiciel d'un 

decodeur peut s'effectuer de deux manieres possibles : soit par la voie de 
retour, soit par la voie broadcast. 

Nous allons tout d'abord decrire, en liaison avec la figure 2, le mode 
25 de realisation utilisant la voie de retour. Ce mode de realisation permet 
avantageusement un dialogue bidirectionnel entre le decodeur et le serveur 
distant 

La figure 2 illustre les etapes de precedes mis en oeuvre dans le 
decodeur 1 et le serveur 5 ainsi que les commandes echangees entre les deux 
30 dispositifs. 

A chaque fois qu'un evenement declencheur survient, comme cela 
est represents par I'etape 10 sur la figure 2, le decodeur interroge le serveur 
distant en emettant une commande « Demande Etat (ID) », envoyee a I'etape 
1 1 , pour connaTtre son etat de fonctionnement. Un evenement declencheur 
35 peut etre une sortie du mode de mise en veille (ou mode « stand-by ») du 
decodeur, la mise sous tension du decodeur, la connexion du modem du 
decodeur au reseau bidirectionnel 4, ou bien encore un evenement declencheur 
specifique intervenant a intervalle regulier (au moins 1 fois par jour). 
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A I'etape 12, 1'identifiant ID du decodeur, transmis en parametre de la 
cornmande envoyee a I'etape 11, est regu dans la base de donnees des 
abonnes de I'operateur. Un test est alors effectue a I'etape 13 pour verifier si 
I'abonnement associe au decodeur d'identifiant ID a ete resilie ou non. Si 
I'abonnement est en cours, c'est a dire si I'utilisateur du decodeur 1 est a jour 
du paiement de son abonnement, alors la reponse a u test 13 est « NON » et le 
serveur 5 renvoie une cornmande « Cmd (ID, ACTIF) » au decodeur 1 lors de 
I'etape 14. Le decodeur entre alors dans un mode de fonctionnement normal a 
I'etape 15. 

Si en revanche I'abonnement associe au decodeur 1 a ete resilie ou 
bien si aucun abonnement n'a ete enregistre par I'operateur pour un decodeur 
d'identifiant ID, alors la reponse au test 13 est « OUI » et le serveur envoie lors 
d'une etape 16 une cornmande « Cmd (ID, INACTIF) » au decodeur 1. Lorsqu'il 
regoit cette cornmande, le decodeur 1 entre alors dans un mode de degradation 
de son fonctionnement illustre par I'etape 1 7. Dans ce mode degrade, le logiciel 
embarque dans le decodeur est detruit, totalement ou partiellement selon un 
mode de realisation qui sera decrit ulterieurement. 

On notera que lorsque ce mode de realisation est utilise, il est 
preferable de prevoir d'equiper les decodeurs de modems sans connexion (de 
type, GPRS, GSM ou UMTS) de sorte que les utilisateurs « pirates » ne 
puissent pas contourner cette attaque en deconnectant tout simplement Jeur 
modem. 

Le second mode de realisation, qui doit etre utilise de preference en 
parallele avec le premier mode de realisation pour plus de securite, utilise quant 
a lui la voie dite «broadcast ». 

Selon le principe de ce mode de realisation, I'operateur diffuse avec 
les flux video et audio des commandes de destruction de tout ou partie du 
logiciel embarque dans les decodeurs dont les abonnements ont ete resilies et 
qui n'ont pas ete restitues a I'operateur ou bien pour lesquels aucun 
abonnement n'a jamais ete souscrit. 

La figure 3 illustre schematiquement les operations effectuees selon 

ce mode de realisation. 

Le centre de diffusion 2 de I'operateur regoit regulierement de la 
base de donnee de I'operateur un message 20 « Resilies (ID1, ID5, .... IDn) » 
contenant les identifiants ID1, ID5, IDn de tous les decodeurs dont le logiciel 
doit etre detruit totalement ou partiellement. Des commandes de destruction 
sont alors generees pour chacun des identifiants ID1, ID5, IDn et sont 
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ensuite diffusees par le centre de diffusion 2 avec les donnees audio/video a 
destination de tous les decodeurs de I'operateur. 

Sur la figure 3, nous avons represents deux decodeurs dont les 
identifiants sont respectivement ID2 et IDS. Ces deux decodeurs regoivent 
5 toutes les commandes de destruction 21 a 26 et ils filtrent les identifiants 
contenus dans les parametres des commandes de destruction pour verifier s'ils 
correspondent a leur propre identifiant ou non. 

Comme le decodeur d'identifiant ID2 ne regoit aucune commande 
de destruction comportant son identifiant, il poursuit son mode de 
1 0 fonctionnement normal 27. 

Lorsque le decodeur d'identifiant IDS regoit la commande de 
destruction 24 contenant IDS dans ses parametres, il reconnalt son propre 
identifiant et entre alors dans un mode de degradation de son fonctionnement 
28. 

15 

La maniere de rSaliser la degradation des fonctionnalites du 
decodeur lorsque celui-ci regoit une commande de destruction selon Tun des 
modes de realisation ci-dessus va maintenant etre decrite plus en details. , 

Selon le principe de I'invention, lorsqu'un decodeur d'identifiant ID 

20 regoit une commande de destruction contenant I'identifiant ID dans ses 
parametres, le decodeur efface tout ou partie de son logiciel embarque. Cet 
effacement est effectue par un module logiciel que nous appellerons 
« effaceur », qui est ajoute aux modules logiciels classiques d'un decodeur et 
qui a pour fonction d'effacer une partie ou I'integralite du logiciel existant dans 

25 le decodeur. 

Sur la figure 4, nous avons represents sous forme d'un 
organigramme schematique le fonctionnement d'un decodeur. Le debut 40 se 
produit lorsque le decodeur sort de son mode de mise en veille (« stand-by »). 
Un module 41 « Bootloader » (signifiant « Initialisation du decodeur ») est 

30 ensuite appele. Ce module a pour tache habituelle de verifier I'integrite du 
logiciel du decodeur et de telecharger un nouveau logiciel dans le cas ou le 
logiciel n'est plus integre. On lui rajoute selon [Invention une nouvelle 
fonctionnalite qui consiste a verifier au prealable que le logiciel n'a pas ete 
efface par le module effaceur. 

35 Ainsi, a I'etape 410, un test est effectue pour verifier si une partie au 

moins du logiciel n'a pas ete effacee par le module effaceur. Si la reponse a ce 
test est negative, un test 411 est effectue pour verifier I'integrite du logiciel 
present. Si celui-ci n'est pas integre, alors le module « Bootloader » telecharge 
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un nouveau logiciel a I'etape 412 et le procede se poursuit par un « reset » du 
decodeur (etape 47) qui consiste a eteindre proprement le decodeur (arret 
intelligent des modules logiciels, remise a zero de la memoire RAM, ...). On 
notera egalement que le « reset » du decodeur provoque un passage en mode 
5 « stand-by » et une sortie automatique de ce mode « stand-by ». 

Lorsque le test 411 revele que le logiciel est integre ou lorsque le test 
410 revele qu'au moins une partie du logiciel a ete effacee, le procede se 
poursuit par Tappel des modules logiciels permettant le fonctionnement nominal 
du decodeur. 

10 Le module decodage audio/video 42 est charge du decodage des 

donnees numeriques representant Taudio et la video. Le module de controle 
d'acces 43 est charge d'une part de verifier si le decodeur peut acceder aux 
donnees audio/video constituant le programme en fonction des droits acquis 
par I'utilisateur (par exemple en fonction de son abonnement), et d'autre part du 

15 desembrouillage des donnees audio/video si le programme regu est embrouille 
(ou « crypte » dans la terminologie courante). Le module Interface Utilisateur 44 
est quant a lui charge de la navigation dans les menus du decodeur, 
notamment pour choisir les programmes ou regler des parametres du 
decodeur. 

20 On notera que lorsqu'une partie du logiciel a ete effacee, 

naturellement le module correspondant a cette partie n'est appele. * r 

Les trois modules 42, 43 et 44 fonctionnent en parallele sous fa 
supervision d'un « Operating System » (OS) temps reel (non represents) qui 
leur alloue des plages temporelles pour fonctionner. 

25 Pendant le fonctionnement nominal du decodeur, un test 45 est 

egalement mis en oeuvre pour verifier si une commande de destruction (telle la 
commande transmise a I'etape 16 de la figure 2 ou bien les commandes 21 a 
26 de la figure 3) a ete regue par le decodeur. Si la reponse a ce test est 
negative, alors le fonctionnement nominal du decodeur se poursuit. 

30 Par contre, si la reponse au test 45 est positive, un module logiciel 

« Effaceur » 46 est appele pour detruire tout ou une partie du logiciel embarque 
dans le decodeur. Le procede se poursuit ensuite par un « reset » du decodeur 
(etape 47), cette etape 47 re-bouclant elle-meme sur I'etape de debut 40. 

35 L'effacement du logiciel embarque par le module Effaceur 46 peut 

etre complet ou graduel. Un logiciel de decodeur est compose principalement 
de quatre parties qui sont memorisees dans une memoire Flash du decodeur : 
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- des modules proteges (par exemple le module « Bootloader » ou le 
module Effaceur) qui sont stockes dans une zone protegee de la memoire 
Flash, c'est a dire dans une zone effagable uniquement en usine ; 

- un module de decodage audio/video (tel le module 42) ; 
5 - un module de controle d'acces (tel le module 43) ; et 

- un module d'interface utilisateur (tel le module 44). 

Les modules de decodage audio/video, de controle d'acces et 
d'interface utilisateur sont stockes quant a eux dans une zone effagable et 
reinscriptibte de (a memoire Flash, lis peuvent en effet etre mis a jour par 
10 telechargement d'un nouveau logiciel comme cela est effectue a I'etape 412 de 
la figure 4. 

Selon le principe de I'invention, lorsque le module Effaceur est 
appele, il efface soit completement, soit graduellement, les modules logiciels 
stockes dans la partie effagable de la memoire. 
15 Preferentiellement, on commence par effacer le module de controle 

d'acces. L'utilisateur n'a ainsi plus acces aux programmes embrouilles. II ne 
peut acceder qu'aux programmes transmis en clair. 

On prevoira dans ce cas d'afficher un message explicite a l'utilisateur 
Tinformant de la destruction prochaine de son decodeur s'il ne souscrit pas un 
20 nouvel abonnement aupres de I'operateur. 

Si une nouvelle commande de destruction est regue parce que 
l'utilisateur persiste a ne pas souscrire d'abonnement, alors on efface en 
second lieu le module d'interface utilisateur, ce qui prive l'utilisateur de toute 
possibility de « zapping » et de navigation dans des menus. 
25 Enfin, en dernier lieu, le module de decodage audio et video est 

efface ce qui met le decodeur hors service. 

Naturellement les modules logiciels peuvent etre effaces dans un 
ordre different de celui qui vient d'etre decrit. Si un logiciel embarque dans un 
decodeur comporte d'autres modules que ceux qui ont ete decrits, ils peuvent 
30 egalement etre effaces progressivement. 
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REVINDICATIONS 



1. Precede de deactivation a distance d'au moins un decodeur (1) 
5 d'acces a des donnees numeriques multimedia foumi par un operateur de 

services, le decodeur ayant un identifiant (ID) unique connu de I'operateur, 
caracterise en ce qu'il consiste pour I'operateur a envoyer, a travers un reseau 
de communication (3, 4) reliant le decodeur a I'operateur, une commande de 
destruction (Cmd (ID, INACTIF)) de tout ou partie du logiciel embarque dans le 
10 decodeur, ladite commande de destruction etant adressee au decodeur 
d'identifiant unique (ID) specifie par I'operateur. 

2. Precede selon la revendication 1, caracterise en ce que le reseau 
de communication utilise pour envoyer la commande de destruction (Cmd (ID, 

15 INACTIF)) est un reseau bidirectionnel (4). 

3. Procede selon la revendication 2, caracterise en ce que ladite 
commande de destruction n'est envoyee qu'au decodeur auquel elle est 
adressee. 

20 

4. Procede selon la revendication 1, caracterise en ce que le reseau 
de communication utilise pour envoyer la commande de destruction (Cmd (ID1, 
INACTIF), Cmd (ID5, INACTIF), Cmd (IDn, INACTIF)) est un reseau mono 
directionnel (3). 

25 

5. Procede selon la revendication 4, caracterise en ce que ledit 
reseau de communication mono directionnel (3) est le reseau de diffusion des 
donnees de I'operateur vers tous les decodeurs et en ce que ladite commande 
de destruction est envoyee a tous les decodeurs avec les donnees diffusees 

30 par I'operateur. 

6. Decodeur (1) d'acces a des donnees numeriques multimedia 
caracterise en ce qu'il comporte un module logiciel effaceur (46) adapte a 
effacer tout ou partie du logiciel embarque dans ledit decodeur lorsque le 

35 decodeur regoit une commande de destruction (Cmd (ID, INACTIF)) qui lui est 
adressee. 
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7. Decodeur selon la revendication 6 possedant un identifiant unique 
(ID), caracterise en ce la commande de destruction regue contient ledit 
identifiant unique lorsqu'elle lui est adressee. 

5 8. Decodeur selon Tune des revendications 6 ou 7 comportant un 

module d'initialisation du decodeur (41) destine a verifier (411) I'integrite du 
iogiciel embarque et, en cas de verification negative a telecharger (412) un 
nouveau Iogiciel, caracterise en ce que ledit module d'initialisation est en outre 
adapte a verifier (410) qu'une partie au moins du Iogiciel embarque dans le 
10 decodeur n'a pas ete au prealable effacee par ledit module effaceur (46), ledit 
module d'initialisation ne verifiant I'integrite du Iogiciel embarque que lorsque 
aucune partie du Iogiciel n'a ete au prealable effacee. 

9. Decodeur selon Tune des revendications 6 a 8, caracterise en ce 
15 que ledit module effaceur efface un module Iogiciel embarque dans le decodeur 

a chaque reception d'une nouvelle commande de destruction adressee audit 
decodeur. 

10. Decodeur selon la revendication 9, caracterise en ce que les 
20 modules logiciels dudit decodeur sont effaces dans I'ordre suivant : 

- le module de controle d'acces (43) en premier, 

- le module d'interface utilisateur (44) en second ; et 

- le module de decodage audio/video (45) en troisieme. 



25 
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